数据取证:OSForensics,新时代的数字化调查取证工具

数据取证:OSForensics,新时代的数字化调查取证工具

2024-10-30 15:36:21

天津鸿萌科贸发展有限公司是 OSForensics 数据调查取证软件的授权代理商。

OSForensics 数据调查取证软件协助用户通过高性能文件搜索和索引快速从计算机中提取数据调查证据;通过哈希匹配、驱动器签名比较、电子邮件、内存和二进制数据识别可疑文件和活动;管理您的数字调查并根据收集的取证数据创建报告。

文章内容:

一、全面的取证调查工具

二、识别可疑文件和活动

三、管理您的数字调查

一、全面的取证调查工具

1 更快地查找文件

OSForensics™ 提供了一种在 Windows 计算机上查找文件的最快、最有效的方法。您可以按文件名、大小、创建和修改日期以及其他条件进行搜索。结果将返回并显示在几个不同的有用视图中。其中包括时间线视图及缩略图视图。

OSForensics 文件搜索比 Windows 内置的搜索快很多倍。与经常遗漏文件的 Windows 不同,您可以确信 OSForensics 会找到磁盘上的每个文件。

2 广泛的文件类型支持

基于广受好评的 Zoom 搜索引擎支持,OSForensics 具有强大的预索引搜索功能,可提供数百种文件格式的全文搜索,可提供:

  • 搜索结果相关性排名
  • 日期排序和日期范围搜索
  • 通配符搜索
  • OCR(光学字符识别)
  • 精确短语匹配
  • “类似 Google” 的上下文结果
  • 突出显示
  • 排除搜索(又称否定搜索)

支持文件格式: OSForensics 可以索引各种文件格式的内容。其中包括:DOC、DOCX、PDF、PPT、XLS、RTF、WPD、SWF、DJVU、JPG、GIF、PNG、TIFF、MP3、DWF、DOCX、PPTX、XLSX、MHT、ZIP、PST、MBOX、MSG、DBX、ZIP、ZIPX、RAR、ISO、TAR、7z 等。还支持递归容器。因此,可以正确地索引 PST 文件中的电子邮件附件 DOCX 文件,而 PST 文件又被压缩为 ZIPX 文件。甚至支持二进制文件和未分配的簇。

3 恢复已删除的证据

OSForensics™ 允许您恢复和搜索已删除的文件,即使这些文件已从回收站中删除。有助于查看用户可能试图销毁的文件。

对于找到的每个已删除文件,都会显示相应的质量指标,范围为 0-100。值接近 100 表示已删除文件基本完好,只有少数数据簇缺失。

4 发现用户活动

OSForensics™ 会扫描您的系统以查找近期活动的证据,例如访问过的网站、连接的 USB 设备、无线网络、近期下载、网站登录名和网站密码。这对于识别用户的趋势和模式以及最近访问过的任何材料或帐户特别有用。

5 密码恢复和解密

使用 OSForensics,可以发现和破解实时系统或取证镜像中的密码:

  • 网站登录名和密码(Chrome、IE、Edge、Firefox、Opera等)
  • Outlook 和 Windows Live Mail 密码
  • 已保存的 Wifi 密码
  • Windows 自动登录密码
  • Windows 7、8 和 10 产品密钥
  • Microsoft Office 和 Visual Studio 产品密钥
  • 端口(串行/并行)
  • 网络适​配器
  • 物理驱动器和光驱
  • Bitlocker 检测

6 显示隐藏磁盘区域 - HPA/DCO

OSForensics ™ 可以发现并揭露硬盘的 HPA 和 DCO 隐藏区域,这些区域可用于恶意目的,包括隐藏非法数据。主机保护区 (HPA) 和设备配置覆盖 (DCO) 是用于隐藏硬盘扇区以防止最终用户访问的功能。

7 访问卷影副本

OSForensics ™ 支持访问卷影副本。卷影副本提供了过去某个时间点的卷的内容。这样可以发现文件的更改,甚至查看可能已删除的文件。

二、识别可疑文件和活动

1 验证并匹配文件

使用 OSForensics 通过比较哈希值来确认文件未被破坏或篡改,或确定未知文件是否属于已知文件集。使用 MD5、SHA-1和 SHA-256 哈希验证和匹配文件。查找内容与扩展名不匹配的错误命名文件。

2 识别变化

创建和比较驱动器签名以识别系统上的差异和更改。OSForensics 允许您创建硬盘驱动器的取证签名,保存签名创建时系统中存在的文件和目录结构的信息。

3 时间线查看器

OSForensics 具有时间线查看器,可以直观地显示文件和系统随时间变化的活动,帮助您确定发生重大活动的日期范围,或建立数年、数月或数天内的行为模式。

4 文件分析工具

OSForensics 提供了一套全面的工具来分析文件、电子邮件和系统信息,包括:

  • 可以显示流、十六进制、文本、图像和元数据的文件查看器
  • 可以直接显示存档中邮件的电子邮件查看器
  • 注册表查看器允许轻松访问 Windows 注册表配置单元文件
  • 文件系统浏览器文件系统浏览器用于在物理驱动器、卷和图像上导航支持的文件系统
  • 原始磁盘查看器原始磁盘查看器用于导航和搜索物理驱动器、卷和图像上的原始磁盘字节
  • Web 浏览器Web 浏览器用于浏览和捕获在线内容,以进行离线证据管理。
  • ThumbCache 查看器可浏览, Windows 缩略图缓存数据库,查找系统中曾经存在过的图像/文件的证据
  • SQLite 数据库浏览器用于査看和分析 SQLite 数据库文件的内容
  • ESEDB 查看器用于査看和分析 ESEDB(.edb)数据库文件的内容,这是各种 Microsoft 应用程序使用的常见存储格式
  • 预取查看器用于识别系统上运行的应用程序的时间和频率,并由操作系统的预取器记录下来
  • Plist viewe用于查看 MacOS、OSX和 iOs 常用来存储设置的 Plist 文件的内容
  • $Usnrnl查看器用于查看存储在 USN 日志中的条目,NTFS 使用该日志来跟踪卷的更改

三、管理您的数字调查

1 创建案例

将您发现的所有证据整理到一个加密安全的案件档案中,

2 生成报告

将您的案件文件导出为一份可访问且可自定义的报告,其中显示与案件相关的所有证据。在调查的任何阶段向客户或执法人员提供可读的法医调查结果摘要。

3 存储设备管理

以集中方式管理您的存储设备,以便在整个 OSForensics 中方便访问。

4 驱动器和系统镜像

创建和恢复证据磁盘的磁盘镜像,以支持取证分析,而不会危及原始数据的完整性。

从一组 RAID 成员磁盘镜像重建完整的 RAID 镜像。

对活动系统的分区或驱动器进行精确复制。在从 USB 驱动器运行 OSForensics 时,这对于实时采集非常有用。

5 审计追踪

OSForensics 可以自动维护调查过程中所进行的具体活动的安全审计跟踪。

6 随身携带 OSForensics

OSForensics 可以通过便携式 USB 驱动器安装和运行。直接在目标计算机上进行调查,而不会冒着有价值的取证信息被污染的风险。